Хакеры научились ждать. Теперь взломы планируют тщательнее, чем запуск стартапов

Прошедший год не принёс «экзотических» новых угроз, но всё жёстче показал цену базовых ошибок. Ежегодный обзор Annual Cyber Threat Intelligence Report 2025 от NCC Group и Fox-IT описывает 2025-й как период, когда злоумышленники реже ломали «в лоб» и чаще выигрывали за счёт терпения, понимания внутренних процессов и работы с доверенными связями.

В предисловии вице-президент по киберразведке и реагированию Мэтт Халл связывает многие успешные взломы с компрометацией цифровых личностей. Авторы отчёта подчёркивают, что старт атаки нередко давали учётные данные, украденные инфостилерами, повторное использование паролей, отсутствие многофакторной аутентификации и продуманная социальная инженерия.

После входа в сеть атакующие часто не спешили, а разбирались, как устроены бизнес-процессы, чтобы ударить по самым чувствительным точкам. Параллельно генеративный ИИ поднял уровень фишинга на новый уровень, убрав примитивные письма и позволив масштабировать правдоподобные легенды и поддельные голоса, из-за чего проверка личности стала сложнее даже в крупных инцидентах.

В отдельной части отчёта зафиксирован резкий рост активности программ-вымогателей. За 2025 год зарегистрировали 7 874 атаки, что на 50% больше, чем в 2024-м, при этом промышленный сектор вышел на первое место по числу пострадавших.

Самым заметным оператором стал Qilin, а пиковые значения пришлись на февраль и декабрь, когда компании чаще работают в режиме отпусков и сниженной укомплектованности смен. На фоне этой динамики доля организаций, которые соглашались платить, по данным отчёта снизилась до 23%.

Показательным примером авторы называют атаку на Marks & Spencer, после которой онлайн-продажи простаивали неделями, а оценка ущерба по прибыли доходила до примерно 300 млн фунтов. В кейсе Jaguar Land Rover остановка производства и сбои в ритейле затянулись больше чем на месяц, а потери, по оценке отчёта, превысили 890 млн долларов.

Сильнее проявились и риски цепочек поставок, облачных сервисов и внешних доверенных интеграций. В отчёте описана схема, при которой скомпрометированные учётные данные Amazon Web Services использовали для «перешифрования» данных в S3 через механизм SSE-C, что блокировало восстановление без ключа атакующих.

Ещё один пример связан с Salesloft и приложением Drift, где украденные OAuth-токены открывали доступ к средам клиентов Salesforce и позволяли выкачивать CRM-данные, а затем искать среди них ключи к другим облакам и хранилищам. Среди громких эпизодов упомянута кража криптоактивов у Bybit на рекордную сумму 1,5 млрд долларов в Ethereum, где атакующие ударили не по бирже напрямую, а по окружению стороннего участника мультиподписи.

Правоохранительный блок показывает, что давление на инфраструктуру киберпреступности выросло, хотя устойчивого «перелома» пока не видно. Авторы приводят операцию Endgame с отключением сотен серверов и доменов, а также координацию Microsoft, Европола и партнёров против инфраструктуры Lumma Stealer.

Отдельно упомянуты операции Интерпола в Африке с сотнями задержаний и изъятием тысяч устройств. В параллельной главе про государственные кампании отчёт фиксирует устойчивый интерес к телеком-сетям и критически важным отраслям, а в разделе о дезинформации отмечает рост доступности deepfake-инструментов на даркнете и внимание World Economic Forum к теме как к одному из ключевых краткосрочных глобальных рисков.